Al in 2018 had Cybercrimeinfo al diverse overheidswebsites die een zeer hoog risico liepen om gehackt te worden persoonlijk gewaarschuwd, echter werd daar helaas nauwelijks gehoor aangegeven. Anno 2021 zou je toch wel verwachten, nu er veel meer aandacht is in de media, dat dit niet meer het geval zou zijn. Maar helaas. Gelukkig nu 3 jaar na dato worden er kamervragen gesteld over dit onderwerp. Hieronder een overzicht van gemeenten die risico's lopen.
Status op 18 juni 2021
De beste en slechtste, organisaties met de meeste risico's
Men schiet te kort bij het treffen van digitale beveiligingsmaatregelen
De Tweede Kamer maakt zich zorgen om de veiligheid van tientallen overheidswebsites. Sommige leden vinden dat het kabinet tekortschiet bij het treffen van digitale beveiligingsmaatregelen. De Kamer wil weten wat de regering gaat doen om de digitale weerbaarheid te vergroten.
Dat blijkt uit schriftelijke vragen van Stephan van Baarle (DENK) aan demissionair staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties Raymond Knops.
Onderzoek beveiliging websites overheid
Afgelopen week schreef Trouw over een onderzoek dat ze had uitgevoerd naar de beveiliging van websites van de overheid en andere politiek-bestuurlijke instanties. Het dagblad concludeerde dat de Rijksoverheid, een tiental gemeenten, acht omgevingsdiensten, vijf veiligheidsregio’s, vier regionale GGD’s, enkele waterschappen, de FIOD, douane en de Belastingdienst ‘een extra groot risico’ lopen om gehackt te worden.
Hun sites draaien op het content management systeem WordPress. Het CMS werkt met een publiekelijk toegankelijke inlogpagina. Om toegang te krijgen tot de achterkant van een site, surf je naar deze pagina en voer je hier je gebruikersnaam en wachtwoord in. Het feit dat deze pagina voor iedereen toegankelijk is, maakt de websites volgens Trouw kwetsbaar. Zeker als hackers technische hulpmiddelen gebruiken om gebruikersnamen en wachtwoorden te achterhalen en automatisch te laten invoeren, totdat er een match is.
Experts schrokken van de bevindingen en vermoeden dat de overheid geen of onvoldoende aandacht schenkt aan het probleem. Marten van Dijk, hoofd van de onderzoeksgroep Computer Security van Centrum Wiskunde & Informatica, stelt dat de overheid op deze manier de cyberrisico’s vergroot. Van de 1.148 overheidswebsites maken er 165 gebruik van WordPress.
Wat vind je hier van staatssecretaris
Voor Stephan van Baarle (DENK) was het onderzoek van Trouw om schriftelijk vragen te stellen aan demissionair staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties Raymond Knops. Het Kamerlid vraagt zich af wat de staatssecretaris ervan vindt dat tientallen websites van de overheid niet voldoen aan de richtlijnen voor digitale veiligheid. Deze adviseren onder meer om de openbare pagina’s en de inlogpagina van de webmaster of beheerder strikt van elkaar te scheiden. Bij de sites die op WordPress draaien is dat niet het geval.
Van Baarle wil van de staatssecretaris weten of hij van mening is dat de overheid tekort is geschoten in het treffen van digitale beveiligingsmaatregelen tegen hackers. Het Kamerlid vindt dat burgers erop moeten kunnen vertrouwen dat de regering en overheidsinstanties als de Belastingdienst ‘vertrouwelijk en verantwoord’ met gevoelige gegevens omspringen. Hij vraagt aan Knops of het eigenlijk niet beter is dat een overheidsorgaan pas persoonsgegevens mag verwerken als de beveiligingsrisico’s in kaart zijn gebracht en de digitale beveiliging op orde is.
Al jaren aan het waarschuwen
Het Nationaal Cyber Security Centrum (NCSC) waarschuwt al jaren voor het gevaar van een openbare inlogpagina. Sinds 2014 heeft de instantie 36 waarschuwingen gestuurd om het probleem bespreekbaar te maken. Van Baarle vraagt zich af wat er met dit advies is gebeurd, aangezien er 165 websites van overheidsinstanties op WordPress draaien. Ook de website van de Informatiebeveiligingsdienst (IBD), dat gemeenten helpt bij cyberincidenten, is gemaakt in WordPress. Het DENK-Kamerlid wil weten wat de staatssecretaris daarvan vindt.
Van Baarle vraagt of staatssecretaris Knops bekend is met de richtlijn van het NCSC om ‘de openbare pagina en de plek waar beheerders in kunnen loggen’ strikt van elkaar te scheiden. Hij wil van Knops horen of hij daar werk van gaat maken. Het Kamerlid wil tevens van de staatssecretaris weten of hij bereid is om de genoemde overheidssites zo snel mogelijk aan de veiligheidseisen te laten voldoen. Tot slot vraagt hij welke beleidsmatige inspanningen het kabinet nemen om de digitale weerbaarheid van overheidswebsites te vergroten.
Bron: diverse, tweedekamer.nl, vpngids.nl
Meer info over cybercrime
Tips of verdachte activiteiten gezien? Meld het hier.
Cybercrime gerelateerde berichten
Bankieren en betalen via de smartphone is dat eigenlijk nog wel veilig?
Mobiel bankieren is inmiddels bij alle banken mogelijk. Handig en snel, want card-readers en TAN-codes zijn dan overbodig. U kunt internetbankieren en zelfs contactloos afrekenen met uw smartphone. Maar is het ook veilig? En hoe zit het met contactloos betalen met de pinpas?
“Het gaat niet om één of enkele goede maatregelen, het gaat om het geheel”
Hoe zet je een goed cybersecuritybeleid op? Sándor Incze, CISO bij CM.com, legt stap voor stap uit wat hij gedaan heeft om CM.com tegen cybercriminelen te beschermen. “Het gaat niet om één of enkele goede maatregelen”, zegt hij. “Het gaat om het geheel.”
“Staatssecretaris moet focus onder meer op security en infrastructuur leggen”
Het nieuwe kabinet werd een kleine maand geleden beëdigd. In dat nieuwe kabinet zit voor het eerst ook een staatssecretaris voor Koninkrijksrelaties en Digitalisering, Alexandra van Huffelen, die de digitale ambities van het nieuwe kabinet coördineert. Maar wat moeten die ambities eigenlijk zijn? AG Connect vroeg het de ICT-branche.
"Waarschuwing Nederlandse bedrijven in de vitale sector"
De cyberaanval op de Duitse tak van Shell, moet een waarschuwing zijn voor Nederlandse bedrijven in de vitale sector. We mogen niet denken dat we in ons land alles voor elkaar hebben op het gebied van cybersecurity. Nederlandse bedrijven die actief zijn in de essentiële sector moeten weerbaarder worden gemaakt tegen digitale dreigingen.
Aantal cyberaanvallen op onderwijs en onderzoekssector gestegen met 75%
In 2021 kregen organisaties in totaal 50% meer wekelijkse cyberaanvallen te verduren dan in 2020. De onderwijs-/onderzoekssector was de meest aangevallen sector, met gemiddeld 1605 wekelijkse aanvallen, een stijging van 75%. Overheid/defensie zag een gemiddelde van 1.136 wekelijkse aanvallen (47% toename).
Insider threats met 34% gestegen in 2021
Een freelancer die per ongeluk een mailtje met gevoelige informatie naar de verkeerde persoon stuurt, een ontslagen werknemer die uit wraak belangrijke informatie doorspeelt aan een concurrent, of een cybercrimineel die toegang verkrijgt tot het e-mailaccount van iemand van de financiële afdeling. Dit zijn alle drie vormen van insider threats die grote schade kunnen betekenen voor de betrokken organisaties. Hoe groot die schade is, blijkt uit nieuw onderzoek van Proofpoint.